Passa al contenuto principale

3. Security Considerations (Considerazioni sulla sicurezza)

3. Security Considerations (Considerazioni sulla sicurezza)

Un access token con restrizione di audience che è legittimamente presentato a una risorsa non può poi essere portato via da quella risorsa e presentato altrove per accesso illegittimo ad altre risorse. Il parametro resource consente a un client di indicare le risorse protette dove verrà usato l'access token richiesto, il che a sua volta consente al server di autorizzazione di applicare le appropriate restrizioni di audience al token.

Alcuni server possono ospitare contenuti utente o essere multi-tenant. Per evitare attacchi in cui un tenant usa un access token per accedere illegittimamente a risorse di un altro tenant, è importante usare un URI di risorsa specifico che includa qualsiasi parte dell'URI che identifica il tenant, come un componente path. Ciò consente di limitare gli access token per audience in modo da identificare il tenant e ne impedisce l'uso, a causa di audience non valida, su risorse di un altro tenant.

Sebbene possano essere incluse occorrenze multiple del parametro resource in una richiesta di token, si incoraggia l'uso di un solo parametro resource. Se un bearer token ha più destinatari previsti (audience), il token è valido su più di una risorsa protetta e può essere usato da una qualsiasi di quelle risorse per accedere a qualsiasi altra. Pertanto, è necessario un alto grado di fiducia tra le parti coinvolte quando si usano access token con più audience. Inoltre, un server di autorizzazione può essere riluttante o incapace di soddisfare una richiesta di token con più risorse.

Ove possibile, il parametro resource dovrebbe corrispondere alla posizione raggiungibile sulla rete della risorsa protetta. Ciò rende possibile al client validare che la risorsa richiesta controlla la corrispondente posizione di rete, riducendo il rischio che endpoint malevoli ottengano token destinati ad altre risorse. Se il parametro resource contiene un identificatore astratto, è responsabilità del client validare fuori banda che qualsiasi endpoint di rete a cui i token sono inviati sia l'audience prevista per quell'identificatore.

Ultimo aggiornamento il